Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So verwendet Amazon Redshift AWS KMS
In diesem Thema wird erläutert, wie Amazon AWS KMS Redshift Daten verschlüsselt.
Amazon-Redshift-Verschlüsselung
Ein Amazon Redshift Data Warehouse ist eine Sammlung von Computing-Ressourcen, den sogenannten Knoten, die zu Gruppen, den sogenannten Clustern, zusammengefasst werden. In jedem Cluster wird eine Amazon-Redshift-Engine ausgeführt, und er enthält mindestens eine Datenbank.
Amazon Redshift verwendet zur Verschlüsselung eine schlüsselbasierte Architektur mit vier Ebenen. Diese Architektur besteht aus Datenverschlüsselungsschlüsseln, einem Datenbankschlüssel, einem Clusterschlüssel und einem Stammschlüssel. Sie können einen AWS KMS key als Stammschlüssel verwenden.
Datenverschlüsselungsschlüssel verschlüsseln Datenblöcke im Cluster. Jedem Datenblock wird ein zufällig generierter AES -256-Schlüssel zugewiesen. Diese Schlüssel werden mithilfe des Datenbankschlüssels des Clusters verschlüsselt.
Der Datenbankschlüssel verschlüsselt Datenverschlüsselungsschlüssel im Cluster. Der Datenbankschlüssel ist ein zufällig AES generierter -256-Schlüssel. Er wird auf einem Datenträger in einem separaten Netzwerk außerhalb des Amazon-Redshift-Clusters gespeichert und über einen sicheren Kanal an den Cluster übergeben.
Der Clusterschlüssel verschlüsselt den Datenbankschlüssel des Amazon Redshift-Clusters. Sie können AWS KMS, AWS CloudHSM, oder ein externes Hardware-Sicherheitsmodul (HSM) verwenden, um den Clusterschlüssel zu verwalten. Weitere Details finden Sie im Dokumentationsthema Amazon Redshift-Datenbankverschlüsselung.
Anfordern können Sie die Verschlüsselung durch die Aktivierung des entsprechenden Kontrollkästchens in der Amazon-Redshift-Konsole. In der Liste unter dem Kontrollkästchen für die Verschlüsselung können Sie einen kundenverwalteten Schlüssel auswählen, der verwendet werden soll. Wenn Sie keinen kundenverwalteten Schlüssel angeben, verwendet Amazon Redshift den Von AWS verwalteter Schlüssel für Amazon Redshift unter Ihrem Konto.
Wichtig
Amazon Redshift unterstützt nur symmetrische KMS Verschlüsselungsschlüssel. Sie können keinen asymmetrischen KMS Schlüssel in einem Amazon Redshift Redshift-Verschlüsselungsworkflow verwenden. Hilfe bei der Bestimmung, ob ein KMS Schlüssel symmetrisch oder asymmetrisch ist, finden Sie unter. Identifizieren Sie verschiedene Schlüsseltypen
Verschlüsselungskontext
Jeder Dienst, der in integriert ist, AWS KMS gibt einen Verschlüsselungskontext an, wenn Datenschlüssel angefordert und verschlüsselt und entschlüsselt werden. Der Verschlüsselungskontext besteht aus zusätzlichen authentifizierten Daten (AAD), die zur Überprüfung der AWS KMS Datenintegrität verwendet werden. Wenn für eine Verschlüsselungsoperation ein Verschlüsselungskontext angegeben wird, gibt der Service denselben Verschlüsselungskontext auch für die Entschlüsselungsoperation an. Andernfalls schlägt die Entschlüsselung fehl. Amazon Redshift gibt die Cluster-ID und den Erstellungszeitpunkt als Verschlüsselungskontext an. Im requestParameters Feld einer CloudTrail Protokolldatei sieht der Verschlüsselungskontext in etwa so aus.
"encryptionContext": { "aws:redshift:arn": "arn:aws:redshift:region:account_ID:cluster:cluster_name", "aws:redshift:createtime": "20150206T1832Z" },
Sie können in Ihren CloudTrail Protokollen nach dem Clusternamen suchen, um zu verstehen, welche Operationen mithilfe eines AWS KMS key (KMSSchlüssels) ausgeführt wurden. Zu den möglichen Operationen gehören die Cluster-Verschlüsselung, die Cluster-Entschlüsselung und die Generierung von Datenschlüsseln.
